E-Mail Benachrichtigungen in Symantec Endpoint Security


Broadcom hat in den Standardeinstellungen für Symantec Endpoint Security (SES) nur wenige E-Mail Benachrichtigungen aktiviert, wohl um die Admins nicht mit weniger wichtigen Mails zu nerven, oder geht einfach davon aus, dass die Admins immer in der Konsole sind oder SES über API an ein internes System angebunden ist. Dennoch kann es sinnvoll sein, zu weiteren Sicherheitsvorfällen E-Mail zu erhalten.

Zuersteinmal muss zwischen Alerts und Incident unterschieden werden. Alerts sind von Broadcom vordefiniert und es können keine eigenen hinzugefügt werden.

Alert Rules
Alert Rules

Alerts können nur bedingt angepasst werden, bei vielen ist E-Mail nicht aktiviert. Um bestimmte Alerts als E-Mail zu erhalten, wird unten die Option „Email“ aktiviert und der „Threshold“ definiert. Bei einigen Alert ist dieser so eingestellt, dass E-Mails nur verschickt werden, wenn mehrere Ereignisse innerhalb einer bestimmten Zeit stattfinden.

Einzelner Alert
Einzelner Alert

Incident-Regeln gibt es nur SES Complete (SESC), denn dies enthält die Lizenz für Endpoint Detection and Response (EDR). Durch EDR können zusätzliche Informationen zu einem einzelnen Ereignis hinzugefügt oder mehrere Ereignisse miteinander korreliert werden. SESC enthält zum Zeitpunkt der Erstellung von diesem Artikel 1.932 Regeln, wovon viele komplett deaktiviert sind.

Incident Rules

Um für die Regeln E-Mail benachrichtungen zu erhalten, klicken Sie auf „Settings“ und dann auf „Notifications“.

Incident Notifications

Wählen Sie nun alle Incident-Typen aus, zu denen Sie benachrichtigt werden wollen.

Incident E-Mail

Broadcom Links: